Mark

Bonjour renfort ; Avec Bagle présent (chopé via un crack..), tu ne peux pas installer d'antivirus car il les infecte illico. Il faut nettoyer d'abord, et ensuite on installera un antivirus (je te suggérerai AntiVir, qui est gratuit, performant et qui connait bien Bagle). Voici la première étape : =========== Télécharge Combofix de sUBs du lien suivant, puis sauvegarde-le sur ton Bureau (et pas ailleurs) : http://www.techsupportforum.com/sectools/sUBs/ComboFix Assure-toi que tous les programmes sont fermés avant de commencer. **Il est très important de brancher tous les lecteurs amovibles (clés USB, disques durs externes, etc...). Double-clique sur Combo-fix.exe afin de l'exécuter. Clique sur "Oui" au message de Limitation de Garantie qui s'affiche. On va te proposer de télécharger et d'installer la Console de Récupération ; clique sur "Oui" au message, autorise le téléchargement dans ton pare-feu si demandé, puis accepte le message de contrat utilisateur final. ComboFix t'alertera de la "présence d'activité de rootkit" sur ton PC et te proposera de le laisser redémarrer : accepte. Le Bureau disparaîtra, ceci est normal, et il va revenir. L'outil mettra plusieurs minutes (plus de 10, possiblement) à compléter sa routine, vu la gravité de l'infection ; sois patient. Un second redémarrage sera nécessaire, ce qui est normal. Ne ferme jamais la fenêtre de l'outil, tu te retrouverais avec un Bureau vide. Lorsque l'analyse sera terminée, un rapport apparaîtra à l'écran ; Copie-colle ce rapport dans ta prochaine réponse. Le rapport est également sauvegardé là >> C:\Combofix.txt @+

Bonjour vous deux ; À tout hasard, un truc à essayer pour récupérer le Bureau. tof06, essaie ceci : - Enfonce les touches "Ctrl"-"Alt"-"Supp" (ceci devrait lancer le Gestionnaire des tâches) - Du menu "Fichier", choisis "Nouvelle tâche (Exécuter...)" - Tape explorer dans la boîte puis clique Ok. Si cela fonctionne, regarde pour un rapport de ComboFix (C:\ComboFix.txt) Si pas de rapport, redémarre en mode Sans Échec avec prise en charge réseau, pour ensuite lancer ComboFix à nouveau. Si rien de cela ne fonctionne, Thanos a la manip suivante dans sa manche. À bientôt..

Encore moi... Thanos doit aller bosser bientôt alors il ne sera de retour que dans plusieurs heures. tof06 : ta machine est solidement infectée. Rares sont les infections aussi agressives. Tu as là, entre autres, un fichier système vital à Windows qui est patché (infecté) et une ou des portes dérobées. Ces dernières arrivent généralement avec un ou des rootkits. Cela dit, ce n'est jamais gagné d'avance avec ce type d'infection. Pour ComboFix qui ne fait plus rien : ferme-le en cliquant le "X" au haut à droite de la fenêtre. S'il refuse, ferme-le via le Gestionnaire des tâches. Un rapport sera peut-être disponible là >> C:\ComboFix.txt Copie/colle son contenu ici, si présent. Sinon, relance ComboFix mais en mode Sans Échec avec prise en charge réseau cette fois-ci, et retente l'installation de la Console de récupération également car elle sera nécessaire. Si son installation échoue, poursuis avec ComboFix et on verra après. Good luck

Salutations à vous deux tof06 : je te vois en ligne, alors je me permets de te demander deux petites analyses qui faciliteront le job de Thanos, à son retour. Je veux confirmer ce que je vois dans les rapports (pas beau du tout...). Oké, à l'attaque : ============ - Il faut tout d'abord démasquer les fichiers cachés : Ferme tous les programmes/fenêtres afin de te retrouver sur le Bureau. Double-clique sur le Poste de Travail Du menu Outils, clique Options des dossiers... De la nouvelle fenêtre, choisis l'onglet Affichage Sous Fichiers et dossiers, coche la case Afficher le contenu des dossiers système Sous Fichiers et dossiers cachés, clique le bouton Afficher les fichiers et dossiers cachés Décoche la case Masquer les extensions des fichiers dont le type est connu Décoche la case Masquer les fichiers protégés du système d'exploitation (recommandé) Clique le bouton Appliquer puis OK. Ferme les fenêtres du Poste de travail. Ensuite... Va sur le site de VirusTotal >> http://www.virustotal.com/fr/ - Clique "Parcourir..." - Retrouve le fichier suivant : C:\WINDOWS\explorer.exe - Double-clique dessus pour le sélectionner - Clique maintenant sur le bouton "Envoyer le fichier" - Possible que tu sois mis en file d'attente ; il faut alors patienter - Possible qu'on te dise que le fichier ait déjà été analysé ; si c'est le cas, choisis une nouvelle analyse. - Les résultats d'analyse apparaîtront progressivement ; cela ne prend qu'une ou deux minutes. - Lorsque terminé, copie/colle le rapport ici, dans ta réponse. >> Refais la même chose pour le fichier suivant : C:\WINDOWS\System32\userinit.exe ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Copie/colle les deux rapports ici, dans ta réponse. Pour éviter le copier/coller, tu pourrais également ne mettre que les liens vers les deux pages d'analyses. @ bientôt...

Oh... D'accord. Essaie le scan en ligne de Kaspersky : En utilisant Internet Explorer, rends-toi ici : http://webscanner.kaspersky.fr/ - Clique sur "Démarrer Online-scanner" (au bas, à droite). - Accepte la licence. - Un contrôle ActiveX devra être installé, ainsi que des bases virales : tu devras accepter leur téléchargement et installation. - Clique "Suivant" lorsque complété. - Tu verras maintenant une page avec options de scan ; clique sur le bouton "Paramètres d'analyse" : >> Clique pour activer l'option "Étendue" (si disponible), puis clique "Ok". - De retour à la page des options de scan, choisis "Poste de travail" - L'analyse sera lancée, et peut durer un bon moment selon les performances du PC et la quantité de fichiers présents (de une à trois heures, possiblement). Fais autre chose durant le scan, mais pas avec le PC. - Lorsque l'analyse sera terminée, un rapport apparaîtra : >> Clique "Enregistrer rapport sous" >> Sous "Type:", choisis "Fichier texte (*.txt)" puis sauvegarde le rapport sur ton Bureau. Copie/colle le contenu du rapport ici, s'il te plaît. @+

Bonjour reverend ; Bon en principe, Avast! conserve les rapports dans le répertoire suivant : C:\Program Files\Alwil Software\Avast4\DATA\log ou dans celui-ci : C:\Program Files\Alwil Software\Avast4\DATA\report Je n'ai pas installé Avast! sur mes machines alors je ne peux pas confirmer. ============ Si tu ne trouves pas ; je vais te faire passer un outil antivirus. Tu dois brancher les DD externes avant de débuter l'analyse. Voici comment faire : Télécharge Dr.Web CureIt sur ton Bureau: ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe Double clique launch.exe et ensuite clique sur Commencer le scan ; Clique Ok à l'invite de l'analyse rapide. Ce scan permet l'analyse des processus chargés en mémoire ; s'il trouve des processus infectés, clique le bouton Oui à l'invite. **Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" ; vous pouvez quitter en cliquant le "X" L'analyse rapide se fait en quelques minutes seulement (progression affichée au bas) Lorsque l'analyse rapide sera terminée, coche/active le bouton "Analayse complète" (au haut à gauche) et clique sur le bouton avec flèche verte sur la droite et l'analyse complète débutera. S'il y a détections, l'outil te proposera des choix d'actions : clique "Oui pour tout" selon l'action proposée (réparation, quarantaine ou suppression). ** L'analyse complète est plutôt longue, donc il faut être patient. Il faut avoir la machine à l'oeil durant l'analyse, car l'outil stoppe sa progression lorsqu'il y a détection et attend votre choix d'action. *** Si tu soupçonnes qu'une détection semble être fausse (un faux-positif), alors clique "Non pour tout" et avise le bénévole qui t'aide en lui soumettant le nom et emplacement du fichier détecté. En fin d'analyse, il est possible que le bouton "Tout sélectionner" (au bas à gauche) soit disponible : ne pas cliquer dessus. Va maintenant dans le menu "Fichier" (au haut à gauche) et choisis "Enregistrer le rapport" ; sauvegarde-le sur le Bureau. Il sera au format .csv (accessible par Excel ou programme similaire, sinon le Bloc-notes peut être utilisé). Copie/colle le contenu du rapport dans ta réponse. Ferme la fenêtre de l'outil en cliquant sur le "X". S'il y a invite "Souhaitez-vous vraiment fermer l'application ?" ; clique "Oui". À bientôt..

Bonjour helpassion, et désolé pour le délai de réponse. Merci pour ces rapports, qui démontrent que Virut n'est pas présent (heureusement). Par contre, il y a peut-être un autre infecteur de fichiers exécutables (Sality par exemple... qui n'est guère mieux que Virut). Ou bien Kaspersky a réussi à tout neutraliser mais un problème avec NSIS persiste. Je veux m'assurer qu'il n'y a plus d'infection, alors je te fais passer un outil antivirus plutôt efficace (Dr.Web CureIt). Voici la marche à suivre : =========== Fais un clic droit sur le lien suivant et choisis "Enregistrer la cible sous..." (sous FireFox >> "Enregistrer la cible du lien sous...") : ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe Lors de la sauvegarde du fichier, renomme le fichier en launch.com puis sauvegarde-le sur le Bureau Double clique launch.com et ensuite clique sur Commencer le scan ; Clique Ok à l'invite de l'analyse rapide. Ce scan permet l'analyse des processus chargés en mémoire ; s'il trouve des processus infectés, clique le bouton Oui à l'invite. **Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" ; vous pouvez quitter en cliquant le "X" L'analyse rapide se fait en quelques minutes seulement (progression affichée au bas) Lorsque l'analyse rapide sera terminée, coche/active le bouton "Analayse complète" (au haut à gauche) et clique sur le bouton avec flèche verte sur la droite et l'analyse complète débutera. S'il y a détections, l'outil te proposera des choix d'actions : clique "Oui pour tout" selon l'action proposée (réparation, quarantaine ou suppression). ** L'analyse complète est plutôt longue, donc il faut être patient. Il faut avoir la machine à l'oeil durant l'analyse, car l'outil stoppe sa progression lorsqu'il y a détection et attend votre choix d'action. *** Si tu soupçonnes qu'une détection semble est fausse (un faux-positif), alors clique "Non pour tout" et avise le bénévole qui t'aide en lui soumettant le nom et emplacement du fichier détecté. En fin d'analyse, il est possible que le bouton "Tout sélectionner" (au bas à gauche) soit disponible : ne pas cliquer dessus. Va maintenant dans le menu "Fichier" (au haut à gauche) et choisis "Enregistrer le rapport" ; sauvegarde-le sur le Bureau. Il sera au format .csv (accessible par Excel ou programme similaire, sinon le Bloc-notes peut être utilisé). Copie/colle le contenu du rapport dans ta réponse. Ferme la fenêtre de l'outil en cliquant sur le "X". S'il y a invite "Souhaitez-vous vraiment fermer l'application ?" ; clique "Oui". J'attends donc le rapport de Dr.Web CureIt @+

Resalut Pour ce qui est des détections dans la quarantaine de ComboFix (Qoobox), tu peux laisser AntiVir les supprimer ; ça en fera moins dans la quarantaine d'AntiVir. Et on virera les restes de Qoobox dans une prochaine étape. @+

Bon ben pas dodo tout de suite hein ? Héhéhé. (moi j'ai l'avantage du décalage horaire ) Pour ce qui est des cracks et keygens : Bagle se chope généralement via les cracks, effectivement. Si tu fais allusion aux multiples cracks/keygens qui apparaissent dans le rapport de ComboFix, je dois te dire que ceux-là ont été installés par Bagle et non par "toi". Bagle transforme la machine en zombie et la met en réseau sur le BotNet de Bagle ; en termes simples, ta machine servait de serveur pour 1) spammer (les mails de Viagra, etc...) et/ou 2) distribuer des cracks infectés. Pas gentil ce Bagle... et très efficace.

Bonsoir Zonk et triton Je ne peux pas résister... Les nettoyeurs de registre ? (je vais mettre cette discussion en bookmark ; elle me sera utile en tant qu'outil de persuasion, ou de dissuasion...). @+ (et je sors)

Excellente nouvelle J'aurais dû y penser plus tôt (Zone Alarm) car un pare-feu détraqué fait partie des toutes premières choses à vérifier lorsqu'il y a problèmes de connexion. Mais avec Bagle qui désactive plein de trucs, ça brouille les cartes un brin. Ça devrait aller maintenant Pour AntiVir : je t'aurais bien suggéré de remettre Nod32 mais, de toute évidence, il ne t'a pas protégé contre Bagle alors qu'AntiVir le connait très bien (et le bloque dès détection). AntiVir est un excellent produit ; pas de soucis de ce côté. Possible qu'AntiVir trouve quelques restes de Bagle. Il va aussi bondir sur ComboFix ; je te suggère de lui dire d'ignorer pour ce dernier. À demain

Zut, bien sûr, Bagle tue les antivirus et pares-feu... Désinstalle les deux (Nod et Zone alarm) via le Panneau de config. C'est peut-être ZA qui te cause les soucis (corrompu et injecté par Bagle). Je te propose ensuite d'installer AntiVir, en version française et gratuite, puis fais un scan complet avec. Poste le rapport ici. Lien pour la version française : http://dlce.antivir.com/down/windows/antiv...n_winu_fr_h.exe Ne remets pas ZA tout de suite ; tu peux avoir bien mieux que lui, en gratuit. J'y reviendrai (demain). Au boulot maintenant

Merci pour ce rapport Rien d'inquiétant de ce côté. Tu peux relancer l'outil et choisir l'option de désinstallation (la #3). Je pensais qu'il allait nous montrer l'état des Services ciblés par Bagle, mais ils n'y sont pas (?) Peut-être qu'ils ne sont pas listés lorsque "normaux". Je vais tout de même te demander de vérifier un dernier truc tout simple : "Démarrer" >> "Exécuter..." et tape regedit - Clique "OK" - Depuis l'éditeur de registre, recherche la clé suivante (par l'arborescence) : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisuio - Clique une fois sur la sous-clé Ndisuio (volet de gauche) - Regarde dans le volet de droite et double-clique sur la valeur "Start" - Sous "Donnée de la valeur" : si tu vois le chiffre 4, c'est mauvais ; remplace par 3 et valide (OK) Si la valeur était à 3 déjà, ben je ne sais plus où regarder pour solutionner ton problème, donc le forum Réseau te sera d'un plus grand secours. @+

Oh là... bizarre Bon, étant donné que Bagle a été présent sur ta machine (sale bête..), je vais te demander de passer un autre outil, juste pour voir s'il n'y a pas des trucs qui traînent. L'outil va sûrement détecter quelques clés liées à Bagle que ComboFix ne répare pas (normal et pas grave), mais il y a peut-être plus : ============ Télécharge FindyKill (de Chiquitine29) du lien suivant et dépose-le sur le Bureau du PC : http://sd-1.archive-host.com/membres/up/11...8/FindyKill.exe - Lance l'installation en double-cliquant sur le fichier FindyKill.exe - Accepte la licence - Lorsque terminé, tu auras un nouvel icône pour FindyKill sur ton Bureau ; - Double-clique dessus, puis choisis la langue et ensuite lance l'option #1 - Un rapport sera créé ; copie/colle son contenu ici, dans ta réponse. @+

Hmmm... Non-non, c'était bien du mode Normal. Et si je te faisais désinstaller la carte réseau (pas physiquement bien sûr) ; Windows va possiblement la réinstaller convenablement après redémarrage. Voici : - Va dans le Gestionnaire de périphériques ; clic droit sur le Poste de Travail >> "Propriétés" >> onglet "Matériel" et ensuite clique sur "Gestionnaire de périphériques" ; - Fais un clic droit sur la carte réseau (sans fil) et choisis "Désinstaller" - Valide et ensuite redémarre la machine. - Windows devrait réinstaller la carte avec le bon pilote.

Encore moi... Possible que le Service WZCSVC ne puisse être activé du mode Sans Échec. sleepy, regarde par ici : - "Démarrer" >> "Exécuter..." et tape ceci dans la boîte : services.msc - Clique "OK" - Dans la liste, repère ceci : "Configuration automatique sans fil" >> double-clique dessus ; - Dans la fenêtre qui apparaît, clique sur "Démarrer" et assure-toi que le Service est en "Automatique" - Clique "OK" pour fermer la fenêtre. - Re-teste la connexion...

Mais tu n'as pas à t'excuser de quoique ce soit Je n'avais jamais testé cette procédure, alors c'était un coup de dé et je suis bien heureux que ça ait fonctionné Oui tu peux mettre "Résolu" sur ton autre topo. Je vous laisse poursuivre, pear et toi. Petite note : il faut savoir que Bagle tue quelques Services importants, dont ceux responsables de la connexion Wi-Fi et du Centre de Sécurité. ComboFix répare le second mais ne touche pas au premier. ComboFix répare également les clés du mode Sans Échec qui sont tuées par Bagle. Oké je sors...

Bonsoir à vous deux Si vous me permettez, j'aurais une petite suggestion. Non testée, mais sait-on jamais... sleepy : ré-essaie la manip de pear du post #11 (le fichier .bat + fichier .reg) mais en mode Sans Échec. Surtout pas en mode Sans Échec avec prise en charge réseau. Redémarre en mode normal puis essaie ta connexion. Si ça peut sauver une visite sur le forum réseau.. @+

Bonsoir maxitoo ; je te souhaite la bienvenue sur Zébulon Oui c'est normal. Le compte "Administrateur" que tu vois en mode Sans Échec est un compte normalement caché en mode Normal. Il s'agit du compte Administrateur "racine" de Windows XP, et Microsoft ne voulait tout simplement pas que les gens non initiés l'utilisent de façon courante. Il s'agit d'un compte normal et utilisable, comme tout autre compte avec pouvoirs "administrateur". Il existe quelques façons d'y accéder du mode Normal, mais disons que ce n'est pas nécessaire. Tu veux passer quel(s) outil(s) en mode Sans Échec ? Pourquoi le mode Sans Échec ? Je demande car le mode Normal est largement suffisant, en l'absence d'infections coriaces et/ou selon les outils utilisés. À te lire..

Bonjour max31, et salut Thanos Apollo était déjà sur le coup ici : http://forum.zebulon.fr/infection-messagerie-t157923.html Vu le délai de réponse, la discussion était très loin dans la liste. Je vais fermer celle-ci pour éviter le travail en double et la confusion @+

Bonjour DJ2012 ; Tu n'avais peut-être pas vu/lu l'intervention de pear juste au-dessus de la tienne (?) Je t'invite donc à lire notre mini Faq de section attentivement ; c'est par là >> http://forum.zebulon.fr/faq-fonctionnement...on-t158392.html Tout est bien expliqué. Merci. badak : désolé pour toute confusion possible. Ça ne se reproduira plus. Bonne continuation à vous deux

Resalut doc pc. Pour la deuxième fois, je t'invite à lire attentivement notre Faq de section : http://forum.zebulon.fr/faq-fonctionnement...on-t158392.html ============== reverend : désolé pour ça. Tu peux effectivement poster le rapport d'Avast! On verra pour un nouvel antivirus en temps et lieu. Merci

Désolé... j'ai dû quitter rapidement (sans me délogguer). Je regarde ça tout de suite...

Merci pour les rapports Bon cela confirme que Virut est bien présent. Ce dernier infecte tous les fichiers exécutables sur la machine. Malheureusement, l'infection ne peut être nettoyée de façon convenable et le seul moyen sûr et efficace est le formatage. Si tu tentes un nettoyage, cela peut se terminer rapidement (machine qui ne démarre plus) ou bien cela peut s'étirer pendant des pages et des pages, des jours et des jours, pour en arriver au même constat : rien à faire.. Ce que tu dois faire maintenant : 1) Sauvegarder tes fichiers importants, mais pas les fichiers suivants : - Tous les programmes et fichiers exécutables (.exe et .scr) - Tous les fichiers .zip ou .rar téléchargés - Tous les fichiers .htm et .html (qui sont aussi infectés/piégés par Virut) - Tous les fichiers .asp et .php (aussi ciblés par Virut) 2) Formater ta partition système (le lecteur C: dans ton cas). Ne pas faire de réparation ; formatage obligatoire. 3) Réinstaller Windows XP (ou autre système de ton choix). 4) Mettre un antivirus efficace (je te suggère AntiVir - version gratuite). 5) Remettre les sauvegardes, mais seulement lorsque l'antivirus sera installé, à jour et actif (pour éviter les surprises...). 6) Réinstaller les programmes, à partir de sources sûres et légitimes seulement (pas via P2P et encore moins via des cracks..). ===== ===== Si questions, pas de gêne @++

Crootte ; Par rapport à ceci : http://www.commentcamarche.net/forum/affic...e-besoin-d-aide Mise en garde : si tu passes un outil antivirus sur ta machine avant de faire tes sauvegardes, tu risques d'abîmer ton système au point qu'il ne démarrera plus. Virut ne peut être nettoyé complètement et proprement. La seule solution efficace : sauvegarder les données importantes (il y a des précautions à prendre - demande et je te dirai) et ensuite formater la partition système. Fais ce que tu veux, mais ne suis que les instructions d'un seul bénévole, sur un seul forum. Autre mise en garde : l'infection (si confirmée) installe une porte dérobée et un (ou des) rootkit(s), en plus du reste. La machine doit être débranchée d'internet illico. Si tu transiges en ligne avec des institutions bancaires, fais des paiements par carte de crédit, etc... tu dois savoir que tes mots de passe + numéros de comptes + noms d'utilisateurs peuvent avoir été dérobés ; il faut avertir les institutions et changer les mots de passes, etc... mais à partir d'un ordi propre - pas avec celui-là. Si questions, je suis là. @+